Uselogin w sshd_config

Przeglądałem mój plik sshd_config i znalazłem to:

#Uselogin no

Wiem, że jest skomentowany, ale nie ma wyjaśnienia powyżej, a kiedy google go, otrzymuję to:

Nie używaj tradycyjnej usługi logowania (1) do logowania użytkowników. Ponieważ używamy separacji uprawnień, gdy tylko użytkownik zaloguje się, usługa logowania (1) jest wyłączona.

LUB

Określa, czy login (1) jest używany do interaktywnych sesji logowania. Domyślnie jest to „nie”. Pamiętaj, że login (1) nigdy nie jest używany do zdalnego wykonywania poleceń. Zauważ też, że jeśli ta opcja jest włączona, X11 Forwarding zostanie wyłączony, ponieważ login (1) nie wie, jak obsługiwać pliki cookie xauth (1). Jeśli określono UsePrivilegeSeparation, zostanie ono wyłączone po uwierzytelnieniu.

Z tego, co rozumiem, nouniemożliwisz ssh korzystanie z „tradycyjnego logowania”, ale nie mogę znaleźć niczego na temat „tradycyjnego” logowania.

Czy ktoś mógłby wyjaśnić, co robi?

Ok, potrzebujemy trochę historii, w czasach, gdy głównym sposobem dostępu do skrzynki UNIX był Terminal i linia szeregowa, w której logowały się cztery programy. Były to: init, getty, login i powłoka. init zaczął getty i utrzymywał go. getty otworzył port szeregowy (a może zrobił to specyficzne dla modemu), a następnie wyświetlił monit logowania i czekał na wprowadzenie nazwy użytkownika. Po wprowadzeniu nazwy użytkownika getty uruchomił logowanie przy użyciu nazwy użytkownika, a następnie login poprosiłby o podanie hasła, wykonaj czynności związane z kontem, a następnie uruchom powłokę. W tym momencie byłeś w stanie korzystać z systemu. Jest to nadal stosowane w centrach danych, maszynach wirtualnych i wielu innych miejscach.

Następnie przyszedł telnet. Telnet nie używał portu szeregowego, więc wszystko się nieco zmieniło. init oprócz getty również uruchamia telnetd (lub inetd, który uruchamia telnetd) telnetd pobiera nazwę użytkownika, a następnie uruchamia logowanie i odtąd wszystko działa prawie tak samo.

Teraz pojawia się bezpieczna powłoka. Teraz bezpieczna powłoka pozwala zalogować się bez hasła (przy użyciu klucza lub może w zależności od wersji GSS), więc było kilka sposobów robienia rzeczy, możesz robić rzeczy dokładnie takie jak telnet i nie używać ładnych funkcji lub możesz pozwolić sshd obsłużyć zaloguj się i uruchom powłokę, która pozwala robić różne fajne rzeczy. Jeśli nie masz niestandardowej wersji logowania, zalecamy, abyś zezwolił sshd na obsługę logowania. (A jeśli masz PAM, nie ma już wielu powodów, aby tworzyć niestandardowe dane logowania.)